Intern styrning och kontroll. Verksamhetsåret 2009



Relevanta dokument
Intern styrning och kontroll i Riksbanken 2013

Göteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen.

Östra Göteborg. Självdeklaration 2013 Verifiering av rekryteringsprocessen Utförd av Deloitte. Februari 2014

Policy för internkontroll för Stockholms läns landsting och bolag

Revisionsrapport. Riksrevisionens granskning av Sveriges riksbank Inledning

Riktlinjer för intern styrning och kontroll

Intern styrning & kontroll samt internrevision i staten

Angered. Självdeklaration 2013 Verifiering av rekryteringsprocessen Utförd av Deloitte. Februari 2014

Landstinget Kronoberg

Hofors kommun. Intern kontroll. Revisionsrapport. KPMG AB Mars 2011 Antal sidor: 10

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Riktlinjer för systematiskt kvalitetsarbete för Verksamhetsstöd vid Högskolan i Borås

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet

Revisionsrapport. IT-revision Solna Stad ecompanion

Lokala regler och anvisningar för intern kontroll

Revisionsrapport Självdeklaration Intern Kontroll

Riktlinjer för internkontroll i Kalix kommun

Granskningsrapport av intern styrning och kontroll 2017

Reglemente för internkontroll

Uppföljningsrapport IT-revision 2013

Granskningsredogörelse Styrning och intern kontroll översiktlig granskning

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Beslut HSN HSN BILAGA 2 Intern kontrollplan för Hälso- och sjukvårdsförvaltningen 2014

Arbetet med intern kontroll inom KSK och förslag till tidplan för upprättade av intern kontrollplan under 2006

Internkontrollinstruktion Övergripande beskrivning av hur Kiruna kommun avser att arbeta med intern kontroll

Övergripande granskning av internkontrollarbetet inom kommunstyrelsen och tre nämnder i Eskilstuna

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Outsourcing IT. Fullmäktiges revisionsfunktion Anders Thunholm, KPMG PROTOKOLLSBILAGA G Fullmäktiges protokoll , 10

Stadsledningskontorets system för intern kontroll

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Information om pågående granskning Outsourcing IT

Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015

Internrevisionen Förslag till revisionsplan för år 2008 Christina Wannehag Dnr B 5 350/08

Policy för intern kontroll

Förstudie. Nerikes Brandkår. Arbetsmiljöarbetet för ej utryckande personal Anders Pålhed

Granskning av Intern kontroll

Bygga intern styrning och kontroll Från kaos till kontroll på ett år. Katrin Westling Palm Stephan Sandelin

System för intern kontroll Hässelby-Vällingby stadsdelsförvaltning

Idrottsnämndens system för internkontroll

Uppföljningsrapport för internkontrollplanen 2018 för Fastighetsnämnden

Riktlinjer för intern kontroll

Riktlinjer för intern kontroll i Örebro kommun

Uppföljningsrapport IT-generella kontroller 2015

Riktlinje för Intern kontroll

Finansinspektionens författningssamling

Anmälan om. schablonmetoden, operativ risk

Instruktion för Sveriges riksbank Bilaga 2

Reglemente och tillämpning för intern styrning och kontroll. I Upplands-Bro kommun

Revisionsrapport. Lantmäteriverket - Skydd mot mutor och annan otillbörlig påverkan. Sammanfattning

Revisionsrapport. 1 Inledning. Revision av uppbördsprocessen Moms. Skatteverket Solna. Datum Dnr

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Regler och riktlinjer för intern styrning och kontroll vid KI

Handlingsplan för persondataskydd

Svar på revisionsrapport Granskning av avvikelsehantering Region Kronoberg

Riktlinjer för intern styrning och kontroll

Revisionsrapport Rutiner och intern styrning och kontroll 2016

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Granskning intern kontroll

Regler. Fö r intern köntröll. Vision. Program. Policy. Regler. Handlingsplan. Riktlinjer Kommunfullmäktige Kommunstyrelsen Nämnd

Plan för intern kontroll 2017

Intern kontroll - Stadsbacken. Bilaga 1, Maud Viklander Controller, koncernstaben

Policy för Essunga kommuns internkontroll

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

Bilaga Från standard till komponent

Uppföljning av revisionsgranskningar genomförda år 2013

Finansinspektionens författningssamling

Uppföljning av internkontrollplan per december 2017

REGLEMENTE FÖR INTERN KONTROLL I YSTADS KOMMUN

I Central förvaltning Administrativ enhet

Organisation av och uppföljning av intern kontroll

Deloitte. stadsbyggnadsnämnden Granskning intern kontroll JÖNKÖPINGS KOMMUN. lönköpings kommun

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Riktlinjer för intern styrning och kontroll

Riktlinje för nämndernas och bolagsstyrelsernas verksamhetsplanering och uppföljning samt interna kontroll

Riktlinje för riskanalys och intern kontroll

Kontroll över IT för efterlevnad och framgång. Johanna Wallmo Peter Tornberg

Revisionsrapport Landskrona stad. Kommunstyrelsens styrning och ledning avseende personalavdelning

Välkommen till enkäten!

Revisor i samordningsförbund enligt lag om finansiell samordning av rehabiliteringsinsatser.

Organisation för samordning av informationssäkerhet IT (0:1:0)

Intern styrning och kontroll

Revisionsrapport Ledningssystemet Stratsys

Policy för intern styrning och kontroll

KUNGSBACKA KOMMUN Kommunstyrelsen

Plan för internkontroll med väsentlighets- och riskanalys 2018 för

Analys och åtgärder med anledning av kommunrevisionens webbenkät; Intern styrning och kontroll Vård- och omsorgsnämnden

Vetenskapsrådets informationssäkerhetspolicy

Plan för. miljöarbetet. Rehabiliteringspolicy. med riktlinjer och handlingsplan BESLUTAT AV KOMMUNFULLMÄKTIGE

Intern kontroll och Riskhantering

Intern styrning och kontroll Policy

Nämndens styrning och interna kontroll av verksamheten

Intern kontroll handlar om att på en rimlig nivå säkerställa:

Vi bedömer att räkenskaperna i allt väsentligt är rättvisande.

Reglemente för intern kontroll. Krokoms kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Transkript:

Intern styrning och kontroll Verksamhetsåret 2009

ISK-projektet: En oberoende övergripande utvärdering av intern styrning och kontroll (ISK) på Riksbanken, utfördes av Ernst & Young i maj 2009. Utgångspunkt var COSO-modellens fem områden; kontrollmiljö, riskhantering, kontrollaktiviteter, information och kommunikation samt uppföljning och utvärdering. Beskrivningar togs fram avseende olika nivåer på ISK inom respektive delområde. Riksbankens målnivå sattes till minst nivå etablerad, vilket motsvarar nivå 3 av 5 nivåer. Ernst & Youngs utvärdering baserades på granskning av styrdokument och annan relevant dokumentation, samt intervjuer med olika befattningshavare på Riksbanken. I vissa fall bedömde de att Riksbanken hade uppnått nivå 4 ( avancerad ), men detta redovisas med samma färg som nivå 3 i matrisen. Grundläggande nivå, d v s nivå 2, redovisas som gul. I juni 2009 genomfördes även en enkät bland Riksbankens enhets- och avdelningschefer för att få deras bedömning avseende ISK. Utifrån utvärderingen och målnivån togs en handlingsplan fram med åtgärder att prioritera under 2009 för att Riksbanken vid årets slut skulle kunna uppnå en tillfredsställande nivå avseende ISK. Den redovisades för direktionen i juni 2009. I maj påbörjades arbetet med att genomföra aktiviteter i enlighet med handlingsplanen. I november 2009 gjorde Ernst & Young en ny utvärdering för att bedöma inom vilka områden nivån på ISK höjts, jämfört den första utvärderingen.

ISK Strukturutvärdering Utvärdering (E&Y) maj 2009 Kontrollmiljö Riskhantering Kontrollaktiviteter Information & Kommunikation Uppföljning & Utvärdering Vision, Värderingar, Strategier och Mål Roller och ansvar för riskhantering (ansvarslinjer) Effektivitet & Hushållning Styrande dokument för intern/extern kommunikation Operationell och ekonomisk verksamhetsuppföljning Organisation, roller & ansvar Modell för riskhantering Lagefterlevnad Informations- och kommunikationskanaler Uppföljning av intern styrning och kontroll Styrmodell och VP-process Process för riskhantering Finansiell Rapportering System för incident- och avvikelsehantering Internrevision Styrande dokument för väsentliga verksamhetsområden Generella IT- kontroller Utbildning och kompetensutveckling Krisberedskap och kontinuitetsplanering 3

ISK Strukturutvärdering Översiktlig bedömning (E&Y) nov 2009 Kontrollmiljö Riskhantering Kontrollaktiviteter Information & Kommunikation Uppföljning & Utvärdering Vision, Värderingar, Strategier och Mål Roller och ansvar för riskhantering (ansvarslinjer) Effektivitet & Hushållning Styrande dokument för intern/extern kommunikation Operationell och ekonomisk verksamhetsuppföljning Organisation, roller & ansvar Modell för riskhantering Lagefterlevnad Informations- och kommunikationskanaler Uppföljning av intern styrning och kontroll Styrmodell och VP-process Process för riskhantering Finansiell Rapportering System för incident- och avvikelsehantering Internrevision Styrande dokument för väsentliga verksamhetsområden Generella IT- kontroller Utbildning och kompetensutveckling Krisberedskap och kontinuitetsplanering 4

Handlingsplan 2010 Från gult till grönt : Delegering av ansvar/befogenheter Ta fram formell struktur för delegering av ansvar till nivå under avdelning Dokumentera kontrollmoment i processer Genomför processgenomgångar och dokumentera kontroller som möter riskerna (ta fram generell metod/modell). Incident- och avvikelsehantering Översyn, samordna det som finns idag, komplettera där luckor finns, samordna rapportering, tydliggör rutiner för eskalering

Handlingsplan 2010 Generell nivåhöjning: Riskrelaterade processer Vidareutveckla Samordna Ansvar och roller i ISK relaterade aktiviteter Inom enheten Inom Riksbanken

Appendix I bilderna på följande sidor redovisas underlag till bilderna två till sex: Utgångsläge (juni 2009), nuläge (slutet av november) och målnivå (vid utgången av 2009) för varje delområde. Inom varje delområde redovisas de beskrivningar som togs fram i det inledande arbetet tillsammans med Ernst & Young, avseende nivåerna på intern styrning och kontroll Ernst & Youngs utvärdering från maj 2009 kompletterat med deras översiktliga bedömning i november. 2009 och rekommenderade aktiviteter för 2010.

Kontrollmiljö Utgångsläge Nuläge Mål 2009 Vision, värderingar, strategier och mål är etablerade, dokumenterade, kommunicerade samt finns tillgängliga för medarbetarna Organisationsschema finns som omfattar hela verksamheten Roller och ansvar för nyckelfunktioner är definierade Styrmodellen täcker hela verksamheten, är formaliserad och kommunicerad till alla medarbetare. VP-dokumenten är aktuella, anpassade till verksamheten och förstådd av medarbetarna Roller och ansvar följer formella strukturer som tydligt delegerar ansvar och befogenheter. Dessa är dokumenterade, kommunicerade och finns tillgängliga för medarbetarna Policys och regler finns för väsentliga verksamhetsområden, är tillgängliga för medarbetarna och implementerade i organisationen Det finns etablerade handlingsplaner för utbildning och kompetensutveckling och en strukturerad modell för rekrytering och lönesättning 8

Riskhantering Utgångsläge Nuläge Mål 2009 Roller och ansvar för de mest väsentliga riskområdena är tydligt definierat Risk- och kontrollansvaret är tydligt kopplat till affärs- och verksamhetsansvaret Tydlig andra ansvarslinje finns Vissa modeller för riskhantering finns Fragmentarisk, silo-orienterad riskhantering Modell som täcker väsentliga riskområden Omfattar centrala enheter/avdelningar Riskhanteringsprocessen utförs som en separat aktivitet i delar av organisationen Gemensam riskhanteringsprocess som täcker alla verksamhetsområden Åtgärdsplaner finns, kopplade till oönskad riskexponering 9

Kontrollaktiviteter Utgångsläge Etablerad process där avvikelser/överträdelser avseende effektivitet och hushållning rapporteras reaktivt till styrelse och ledningsfunktioner Regelbundna riskanalyser genomförs kopplat till efterlevnad av lagar och externa regler Strukturerad process etablerad för att kontrollera efterlevnaden av lagar och regler Väsentliga kontroller kopplat till finansiell rapportering är definierade Det finns en process där brister i kontrollstruktur rapporteras reaktivt till avdelningschefer Behörighetsadministration, utvecklings- och ändringsprocess, samt driftsprocess är inte formaliserade och uppföljning saknas. Säkerhetskopiering görs och återläsningstester sker ad-hoc. Kontinuitetsplanering genomförs enbart inom kritiska verksamheter. Kravställning gentemot interna parter förekommer. Tester av kontinuitetslösningar förekommer. Nuläge Mål 2009 Regelbundna riskanalyser genomförs, utifrån strategier, mål, policys och regler, för att identifiera förbättringsområden. Övergripande nyckeltal eller andra mätetal finns kopplat till effektivitet och hushållning Strukturerade riskanalyser genomförs kopplat till finansiell rapp. Väsentliga kontrollaktiviteter är dokumenterade. Övervakningsprocess finns avseende intern kontroll i finansiell rapportering. Systemägare godkänner nya behörigheter och processen utvärderas ad-hoc. Dokumenterade processer finns för systemutveckling- och driftsättning samt drift. Återläsningstester görs regelbundet Dokumenterade kontinuitetsplaner finns. Kravställning gentemot kritiska interna och externa parter sker. Övningar och systemtester integreras. 10

Information och kommunikation Utgångsläge Nuläge Mål 2009 Policys och regler finns för väsentliga områden, är tillgängliga för medarbetarna och implementerade i organisationen Ansvar och roller för intern och extern kommunikation är tydliga Interna och externa informations och kommunikationskanaler är anpassade efter verksamhetens behov. Tekniska hjälpmedel/itsystem används i stor utsträckning för den interna kommunikationen Process för incident- och avvikelsehantering finns för kritiska delar av verksamheten Process och system för incidentoch avvikelsehantering finns för alla delar av verksamheten Rapportering och hantering av incidenter och avvikelser sker strukturerat 11

Uppföljning och utvärdering Utgångsläge Nuläge Mål 2009 Nyckeltal direkt kopplade till målen i verksamhetsplanen Ledningen initierar separata utvärderingar av befintlig intern styrning och kontroll Fokus på enskilda delar av den interna styrningen och kontrollen Brister i intern styrning och kontroll rapporteras kontinuerligt. IS&K-processen följs upp och förbättras kontinuerligt och återkoppling sker till organisationen IR genomför självständig riskbedömning som grund för internrevisionsplanen Granskar risker och kontroller i operativa processer 12

ISK Strukturutvärdering och handlingsplan Utvärdering maj 2009 och översiktlig bedömning nov 2009 ISK komponent Delkomponent Q2 2009 Nov 09 Kommentarer på bedömning nov 09 Rekommenderade aktiviteter Vision, Värderingar, Strategier och Mål Uppdatering och utveckling av policys (Medarbetarpolicy, Policy rörande rehabilitering, alkohol och droger samt arbetsmiljö). Organisation, roller & ansvar Delegering av ansvar och befogenheter till nivå under Avdelning har inte initierats. Upprätta formell struktur som tydligt delegerar ansvar och befogenheter till alla nyckelmedarbetare, samt gör den tillgänglig för medarbetarna. Kontrollmiljö Styrmodell och VPprocess Styrande dok. för väsentliga verksamhets-områden Utbildning och kompetensutveckling Bedömningen (E&Y) i november 2009 har endast skett för de områden som i utvärderingen i maj bedömdes som ej etablerade (gula) 13

ISK Strukturutvärdering och handlingsplan Utvärdering maj 2009 och översiktlig bedömning nov 2009 ISK komponent Delkomponent Q2 2009 Nov 09 Kommentarer på bedömning nov 09 Rekommenderade aktiviteter Roller och ansvar för riskhantering (ansvarslinjer) Ansvarsförhållanden har konkretiserats och en tydlig beskrivning av andra ansvarslinjen har upprättats. Ny organisationsmodell har beslutats och arbetet kring implementering av denna har påbörjats. Redesigna riskrelaterade processer samt konkretisera ansvarsfördelningen ytterligare. Modell för riskhantering En policy för finansiell risk och en policy för operationell risk finns upprättad. Enligt uppgift skall alla riskområden vara inkluderade i dessa policies. Säkerställ att policies är implementerade fullt ut. Riskhantering Process för riskhantering Riskanalyser avseende operativa risker har under hösten genomförts på avdelningsnivå och konsoliderats på banknivå. Koppling mål -> risk -> kontroll/åtgärder kan förtydligas ytterligare. Riskhantering (åtgärdsplaner) utifrån riskanalyser är kopplat till verksamhetsplanen, men visst dokumentationsarbete återstår för att tydliggöra kopplingen ner till enhetsnivå. Initierade aktiviteter troligen tillräckligt för att ligga i linje med andra myndigheter, men oklart om de är tillräckliga enligt formuleringarna i FISK:en. Bedömningen (E&Y) i november 2009 har endast skett för de områden som i utvärderingen i maj bedömdes som ej etablerade (gula) 14

ISK Strukturutvärdering och handlingsplan Utvärdering maj 2009 och översiktlig bedömning nov 2009 ISK komponent Delkomponent Q2 2009 Nov 09 Kommentarer på bedömning nov 09 Rekommenderade aktiviteter Effektivitet & Hushållning I operativa riskanalyser har inte kopplingen tydliggjorts kring vilka kontroller som finns för de olika riskerna. Dokumentation av kontroller finns implementerat för vissa avdelningar dock är inte struktur enhetlig samt tillräcklig för att mitigera bankens risker. Koppling mål/krav -> risk -> kontroll/åtgärder kan förtydligas ytterligare. Ta fram format för att dokumentera kontroller. Lagefterlevnad Kontrollaktiviteter Finansiell Rapportering Kontrollaktiviteter / checklista för upprättande av månadsbokslut finns dokumenterat. Genomför strukturerade riskanalyser kopplat till den finansiella rapporteringen. Generella ITkontroller Kritikalitetsbedömningar har genomförts (enligt ESCBmodellen) för Colin, Dimension, Agresso och den externa webben. Därutöver har en säkerhetsanalys genomförts för Caesar. Projektet börja och sluta initieras den 1 december för att sedan införas för hela banken i jan-feb 2010. Krisberedskap och kontinuitetsplanering Dokumenterade kontinuitetsplaner finns för alla bankens kritiska verksamhetsprocesser. Ansvarsfördelning och roller inom kontinuitetsarbetet är tydligt. Bedömningen (E&Y) i november 2009 har endast skett för de områden som i utvärderingen i maj bedömdes som ej etablerade (gula) 15

ISK Strukturutvärdering och handlingsplan Utvärdering maj 2009 och översiktlig bedömning nov 2009 ISK komponent Delkomponent Q2 2009 Nov 09 Kommentarer på bedömning nov 09 Rekommenderade aktiviteter Styrande dokument för intern/extern kommunikation Information & Kommunikation Informations- och kommunikationskanaler System för incidentoch avvikelsehantering Incidentrapporteringsprocesser och system finns etablerat dock har dessa inte harmoniserats. Rapportering verkar inte ske tillräkligt strukturerat för att säkerställa fullständighet. Tydliggöra rutiner för eskalering av incidenter vad gäller när, var, hur och till vem operativa incidenter skall rapporteras. Säkerställa ändamålsenlig hantering av rapporterade incidenter. Implementera strukturerad avrapportering till LG. Uppföljning & Utvärdering Operationell och ekonomisk verksamhetsuppföljning Uppföljning av intern styrning och kontroll Ett antal aktiviteter har genomförts under året för att etablera en systematisk uppföljning avseende den interna styrningen och kontrollen, inklusive återkoppling till organisationen. Fastställa ambitionsnivå på längre sikt. Ta fram ny uppdaterad åtgärdsplan baserat på genomförd utvärdering och fastställd ambitionsnivå. Internrevision Bedömningen i november 2009 har endast skett för de områden som i utvärderingen i maj bedömdes som ej etablerade (gula) 16

Redovisning i ÅR? Enligt FISKen ska myndigheters ledning i sin årsredovisning avge en bedömning av den interna styrningen och kontrollen (hushållning, rapportering, lagenlighet, effektivitet) Ska RB avge en deklaration i år? Nej Riksbanken bör invänta lagstiftningen ISK-arbetet nytt på banken en del kvar att göra för att uppnå en etablerad ISK-nivå med god hållbarhet och med en formaliserad process. Nästa år ny enhet och en hel cykels arbete

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss